Beiträge

Mit Urteil vom 27. März 2025 (I ZR 186/17), hat der Bundesgerichtshof entschieden, dass Verstöße gegen datenschutzrechtliche Informationspflichten nicht nur nach der DSGVO, sondern auch wettbewerbsrechtlich verfolgt werden können – und zwar durch Verbraucherschutzverbände, selbst ohne konkreten Auftrag einzelner Betroffener.

Im Mittelpunkt des Falls stand das „App-Zentrum“ von Facebook, in dem Nutzern Online-Spiele Dritter angeboten wurden. Vor dem Start der Spiele erhielten Nutzer Hinweise wie: „Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten.“ Aus Sicht des klagenden Verbraucherzentrale Bundesverbands (vzbv) wurden Nutzer damit nicht ausreichend über Art, Umfang und Zweck der Datennutzung informiert, was gegen die Datenschutz-Grundverordnung (DSGVO) verstoße.

Der BGH bestätigte diese Einschätzung. Die Hinweise seien nicht transparent genug, um eine wirksame Einwilligung zu ermöglichen. Zugleich handle es sich um einen Verstoß gegen das Wettbewerbsrecht, da wesentliche Informationen über die Datenverarbeitung vorenthalten wurden (§ 5a Abs. 1 UWG). Gerade in datenbasierten Geschäftsmodellen, bei denen Nutzer ihre Daten als „Währung“ einsetzen, sei eine umfassende Aufklärung entscheidend für eine informierte Entscheidung.

Zudem erklärte der BGH die Klausel zum automatisierten Posten im Namen des Nutzers für unwirksam, da sie auf unzureichender Information basiere und eine unangemessene Benachteiligung im Sinne des AGB-Rechts darstelle.

Das Urteil stärkt die Verbraucherschutzverbände und unterstreicht: Datenschutz ist kein isoliertes Spezialthema, sondern auch eine Frage der Lauterkeit. Ein Grund mehr nicht nur für Anbieter digitaler Dienste, sich datenschutzrechtlich solide aufzustellen

In einem aktuellen Rechtsstreit (C-413/23) zwischen dem Europäischen Datenschutzbeauftragten (EDSB) und dem Single Resolution Board (SRB) geht es um die Frage, ob pseudonymisierte Daten für den Empfänger personenbezogen bleiben, wenn diesem nicht zugleich die Mittel zur Identifizierung übermittelt wurden.

Im Rahmen eines Insolvenzverfahrens hatte das SRB personenbezogene Daten von Aktionären erfasst und diese in pseudonymisierter Form an Deloitte weitergegeben. Deloitte erhielt die Daten nur mit einem alphanumerischen Code und hatte keinen Zugriff auf die Identifikationsdaten. 

Der EDSB sah dennoch einen Datenschutzverstoß, da die Identifizierungsinformationen beim SRB verblieben und somit eine theoretische Re-Identifizierung möglich war. Generalanwalt Spielmann hält die Entscheidung des Gerichts für fehlerhaft, da nicht geprüft wurde, ob Deloitte tatsächlich über „angemessene Mittel“ zur Identifizierung verfügte.
Das Urteil des EuGH könnte klären, ob für die Einordnung als personenbezogene Daten die theoretische Möglichkeit einer Identifizierung durch den Datenverarbeiter oder die tatsächlichen Mittel des Empfängers entscheidend sind.

Gab es jemals ein heißeres Thema im Datenschutz als Künstliche Intelligenz? Kein Wunder also, dass sich alle auf Hinweise und Stellungnahmen stürzen, die von den Aufsichtsbehörden veröffentlicht werden. So zuletzt geschehen mit der EDPB opinion on the use of personal data for the development and deployment of AI models vom 17.12.2024.

Der EDSA geht darin auf die Fragen ein, (1) wann und wie ein KI-Modell als „anonym“ betrachtet werden kann; (2) wie die für die Verarbeitung Verantwortlichen die Angemessenheit des berechtigten Interesses als Rechtsgrundlage in der Entwicklungs- und (3) der Einführungsphase nachweisen können; und (4) welche Folgen die unrechtmäßige Verarbeitung personenbezogener Daten in der Entwicklungsphase eines KI-Modells für die anschließende Verarbeitung oder den Betrieb des KI-Modells hat.

Wer sich aber wegweisende, praxisrelevante Orientierung erhofft, wird enttäuscht. Die EDSA-Stellungnahme stellt nicht mehr (aber auch nicht weniger) als einen Bewertungsrahmen für Aufsichtsbehörden auf, der für die Bewertung von KI-Modellen im Einzelfall herangezogen werden kann. Entwickler und Anwender von KI-Modellen können sich hieran aber ebenfalls orientieren.

Nach einer Entscheidung des Europäischen Gerichts (EuG) ist die EU-Kommission zur Zahlung von EUR 400,00 Schadensersatz an einen deutschen Bürger verpflichtet (T-354/22). Der Kläger meldete sich über die offizielle Website der EU zur „Konferenz zur Zukunft Europas“ zu einer Veranstaltung an und nutzte die Option „Mit Facebook anmelden“. Dabei wurde seine IP-Adresse ohne ausreichende Schutzvorkehrungen an Facebook/ Meta übermittelt. Zum Zeitpunkt der Übermittlung (März 2022) gab es keinen Beschluss, der den USA ein angemessenes Datenschutzniveau bescheinigte. Das Gericht wertete dies als Datenschutzverstoß und stellte klar, dass auch EU-Behörden für Verstöße haften können. Das Urteil betont die Verantwortung öffentlicher Stellen im Umgang mit sensiblen Daten. 

Die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) hat die Checkliste „Meldung von Datenschutzverletzungen nach Art. 33, 34 DSGVO“ veröffentlicht.

Art. 33 Abs. 1 DSGVO verlangt die Meldung an die Aufsichtsbehörde, wenn eine Datenpanne mit Bezug zu personenbezogenen Daten ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt (z. B. eine fehlgeleitete E-Mail). Art. 34 Abs. 1 DSGVO verpflichtet zur Benachrichtigung der Betroffenen, falls ein vergleichsweise hohes Risiko besteht – etwa bei drohendem Identitätsdiebstahl oder finanziellen Schäden. Letztere Pflicht kann entfallen, wenn die Daten verschlüsselt waren, nachträgliche Maßnahmen das Risiko beseitigen oder eine individuelle Benachrichtigung unverhältnismäßig wäre.

Die GDD unterstützt als gemeinnütziger Verein mit der Checkliste dabei, die genannten Meldepflichten hinreichend zu prüfen. Mehr Infos hier.

Betriebsvereinbarungen über die Verarbeitung von Beschäftigtendaten können schon mal wie ein datenschutzrechtliches Kuriosum wirken. Gem. Art. 88 Abs. 1 DSGVO besteht die Möglichkeit, dass Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Datenschutzes im Beschäftigungskontext vorsehen können. Kann also der Betriebsrat nun darüber mitbestimmen, wie meine persönlichen Daten von meinem Arbeitgeber verarbeitet werden? Gibt’s dafür nicht eigentlich den Gesetzgeber?

Der EuGH (C‑65/23) hat nun klargestellt, dass Betriebsvereinbarungen keine Umgehung der Verpflichtungen des Arbeitgebers bezwecken oder bewirken können sollen. Anderenfalls wäre das Ziel der DSGVO, ein hohes Schutzniveau für die Verarbeitung von Beschäftigtendaten sicherzustellen, beeinträchtigt. Also müssen auch Betriebsvereinbarungen die allgemeinen Anforderungen der Art. 5, Art. 6 Abs. 1 sowie Art. 9 Abs. 1, 2 DSGVO erfüllen. Betriebsvereinbarungen dürfen gerade nicht dazu führen, dass datenschutzrechtliche Anforderungen wie die Voraussetzung der Erforderlichkeit weniger streng angewandt werden oder gar darauf verzichtet wird.

Irgendwie logisch und gar nicht kurios.

Das Landgericht Traunstein (9 O 173/24) hat sich mit der Verarbeitung personenbezogener Daten durch soziale Netzwerke beschäftigt. Demnach kann einem globalen sozialen Netzwerk mit Sitz in den USA keine rechtswidrige Datenübermittlung in die USA vorgeworfen werden.

Denn ist das soziale Netzwerk als globale Plattform konzipiert, müssen Daten zwangsläufig international ausgetauscht werden, um das weltweite Netzwerk unterhalten zu können. Die Datenübermittlung ist daher grundsätzlich zur Vertragserfüllung erforderlich. Der Nutzer könne von dem sozialen Netzwerk nicht verlangen, dass sämtliche Daten des betroffenen Netzwerks in Europa gespeichert und verarbeitet werden. Immerhin wird auch niemand dazu gezwungen, solche Plattformen zu nutzen.

Das Gericht hatte damit die Klage auf Schadensersatz, Unterlassung, Löschung und Auskunft wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) abgewiesen.

Im Urteil vom 4. Oktober 2024 (15 O 216/23) entschied das Landgericht Lübeck über einen immateriellen Schadensersatzanspruch gem. Art. 82 DSGVO. Dieser ergab sich aus einem Datenleck bei der Musik-Streaming Plattform „Deezer“.

Das Gericht entschied jedoch, dass bereits Schadensersatzansprüche dadurch begründet werden können, wenn es zwischen einem Auftragsverarbeiter und einem Unterauftragsverarbeiter an einer AV-Vereinbarung fehlt und der Verantwortliche dennoch personenbezogene Daten an den Unterauftragsverarbeiter herausgibt. Aber auch der Kontrollverlust durch die Veröffentlichung der Daten im Darknet stellt einen eigenständigen Schaden dar.

Dem Kläger wurden daraufhin EUR 350,00 Schadensersatz zugesprochen.

Künstliche Intelligenz und sog. Large Language Models werden in Datenschutzkreisen seit Monaten heiß diskutiert (und da werden Datenschützer auch plötzlich zu den größten KI-Experten…). U. a. geht es um die Frage, wie Betroffenenansprüche zu erfüllen sind bzgl. der Daten, die in den Modellen gespeichert sind. Denn dass da personenbezogene Daten drin gespeichert („memorisiert“) sind, ist doch klar. Woher soll denn ChatGPT sonst wissen, dass Joe Biden der aktuelle US-Präsident ist?

Aber ist das wirklich so (also das mit den Daten, nicht Joe Biden)? Der Hamburgische Datenschutzbeauftragte wagte sich im Juli mit einem „Debattenimpuls“ nach vorne: In LLMs sind gar keine personenbezogenen Daten gespeichert, sondern nur Sprachinformationen als Fragmente in Form „numerischer Tokens“. Beispiel: [I][st][ e][in][ LL][M][ person][en][be][z][ogen][?]. Alles Weitere ist – vereinfacht gesagt – nur ziemlich abgefahrene Stochastik. Betroffenenrechte könnten sich folglich nur auf den Input und den Output eines LLM-basierten KI-Systems beziehen, nicht auf den Zauber dazwischen.

[Das][ n][enne][ ich][ mal][ praxis][nah][.] 

Microsoft ist für die Rechtmäßigkeit der Speicherung von Cookies auf den Endgeräten von Nutzern verantwortlich. Das gilt auch dann, wenn diese Verantwortung vorab über AGB von Microsoft auf die Webseitenbetreiber übertragen worden ist, die den Dienst „Microsoft Advertising“ nutzen. (OLG Frankfurt a. M., 6 U 192/23).

Der Dienst ermöglicht es Unternehmen, Anzeigen in den Suchergebnissen der Suchmaschine „Bing“ zu schalten und den Erfolg einer Anzeigenkampagne genau zu messen. Google bietet mit „Google Ads“ ein vergleichbares Produkt an.

Holen die Unternehmenskunden von Microsoft auf ihrer eigenen Webseite keine wirksame Einwilligung für das Setzen des Cookies ein, haftet dafür neben dem Unternehmenskunden auch Microsoft selbst.

Gem. Art. 13. Abs. 1 lit. b) DSGVO sind in einer Datenschutzinformation die Kontaktdaten des Datenschutzbeauftragten anzugeben. Der BGH (VI ZR 370/22) hat nun geurteilt, dass die Nennung des Namens des Datenschutzbeauftragten nicht zwingend ist. Ist die Erreichbarkeit ohne Nennung des Namens gewährleistet, muss dieser nicht mitgeteilt werden.

Es reicht also aus, in der Datenschutzerklärung zum Beispiel eine E-Mail-Adresse mit datenschutz@… anzugeben. Aber Vorsicht: Laut Art. 38 Abs. 5 DSGVO ist der Datenschutzbeauftragte an die Wahrung der Vertraulichkeit gebunden, so dass auch eine vertrauliche Kontaktaufnahme möglich sein muss. Andere Empfänger sollten dann nicht auf dem datenschutz@-Verteiler stehen.

Werden über die datenschutz@-Adresse aber auch Betroffenenanfragen entgegengenommen, die durch das Support-Team bearbeitet werden, empfiehlt sich auch die Angabe einer alternativen, vertraulichen Kontaktmöglichkeit mit dem DSB.

Als externe Datenschutzbeauftragte werden wir immer wieder mit Auskunftsersuchen nach Art. 15 DSGVO konfrontiert, deren Motivation ziemlich sicher nichts mit Datenschutz zu tun hat. Häufig werden diese Auskunftsersuchen taktisch als Verhandlungsmasse in Konfliktsituationen eingesetzt oder einfach nur, um dem Verantwortlichen das Leben schwer zu machen.

Um Verantwortliche vor rechtsmissbräuchlichen Auskunftsersuchen zu schützen, gibt es Art. 12 Abs. 5 S.2 DSGVO. Danach kann der Verantwortliche bei offensichtlich unbegründeten oder – insbesondere bei häufiger Wiederholung – exzessiven Anträgen entweder ein angemessenes Entgelt verlangen oder die Bearbeitung des Antrags ganz ablehnen. Dabei hat der Verantwortliche den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen (S. 3).

Als „exzessiv“ und damit rechtsmissbräuchlich ist es allerdings nicht anzusehen, wenn Auskunftsersuchen (inhaltsgleich) nach etwa drei Jahren wiederholt werden. Dies hat das OLG Wien (14R48/24t) im Juni klargestellt (mal wieder: Verbraucher vs. Sportwettenanbieter). Da ist die Wiederholung einfach nicht häufig genug.

Der Mitarbeiter eines Kreditinstituts wurde 2023 vom HmbBfDI mit einer Geldbuße belegt, weil er während eines Twitch-Streams die persönlichen Daten eines Gegenspielers in einem Videospiel abfragte und androhte, diesen aufzusuchen.

Der Streamer spielte das Spiel Valorant und ärgerte sich zunehmend über einen Spieler der gegnerischen Gruppe. Dies endete schließlich damit, dass der Streamer dann seinen Entschluss verkündete, den Wohnort des Gegners ausfindig zu machen und ihn am nächsten Tag unter Androhung körperlicher Gewalt aufzusuchen. Den Klarnamen seines Gegners erhielt er von anderen Zuschauern.

Der Streamer nutzte seine Position im Kreditinstitut, um über die Kundendatenbank den Wohnort des Gegners zu ermitteln. Der Hausbesuch fand am darauffolgenden Tag auch statt, jedoch ohne die angekündigte körperliche Gewalt.
Der Missbrauch der Zugriffsrechte beim Kreditinstitut führte zu einer mittleren vierstelligen Geldbuße. Diese bemaß sich u. a. an der durch ihn selbst auf Twitch betonten guten wirtschaftlichen Situation des Streamers sowie an der Vorsätzlichkeit des Verstoßes.

Wer Daten über eine Person verarbeitet, ist dieser Person gegenüber zur Auskunft nach der DSGVO verpflichtet. Ob und welche Daten mit Personenbezug verarbeiten werden, ist mitzuteilen. Die Details gibt Art. 15 DSGVO vor. In der Praxis verursachen die Auskünfte immense Aufwände.

In einem Streit vor dem Verwaltungsgericht Berlin (1 K73/22) erwirkte nun der Kläger die Kopie eines unstreitig vollständigen Verwaltungsvorgangs einschließlich aller bei der Beklagten gespeicherten personenbezogenen Daten des Klägers. Das war ihm nicht genug. Der Kläger wollte sich die Informationen nicht „zusammensuchen“ müssen. Das Gericht hatte dafür kein Verständnis. Das PDF könne man schließlich durchsuchen. Sic!

Ein Anspruch auf Meta-Daten wurde als rechtsmissbräuchlich zurückgewiesen, da sich dem Kläger die verlangten Informationen aus den Auskünften erschließen müssten. Zack. Wichtig auch: das Gericht hat es zugelassen, für die Angabe der Speicherdauer abstrakt auf die Registraturrichtlinie des BMI zu verweisen. Gut!

In der Praxis begegnet einem bis heute viel zu oft die Rechtsauffassung, es gäbe in Art. 15 DSGVO zwei (Auskunfts-)Ansprüche: einen Anspruch auf Auskunft im Sinne einer bloßen Information über die verarbeiteten Daten, und einen weiteren Anspruch auf Kopie und damit um eine Reproduktion der Daten im Verarbeitungskontext. Gegen diese Auffassung spricht bereits der Wortlaut der Vorschrift („Der Verantwortliche stellt eine Kopie […] zur Verfügung“) sowie die systematische Einordnung in Abs. 3 hinter dem eigentlichen Auskunftsanspruch in Abs. 1.

Der BGH (VI ZR 223/21) hat nun nochmal klargestellt, dass der Hinweis auf die Kopie in Absatz 2 lediglich eine Regelung im Hinblick auf das „Wie“ der Auskunft darstellt

…und das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) heißt jetzt Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG). Für Betreiber von Webseiten und anderen digitalen Diensten, auf denen Cookies und andere ähnliche Technologien zum Einsatz kommen, bedeutet das, dass nun die Verweise auf das TTDSG in Datenschutzerklärungen und Cookie-Bannern auf das TDDDG umgestellt werden müssen.

Sonst ändert sich nix.

Die relevante Norm ist weiterhin der § 25 (jetzt TDDDG statt TTDSG). Der besagt, dass die Speicherung von Informationen in der Endeinrichtung des Endnutzers (Cookies) oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind (z. B. über Javascript-Code), nur mit der Einwilligung des Endnutzers auf Grundlage von klaren und umfassenden Informationen zulässig ist. Ausnahme bilden die Technologien, die für den vom Nutzer ausdrücklich gewünschten digitalen Dienst unbedingt erforderlich sind.

Wer also jetzt ohnehin das Cookie-Banner anfasst, schaut am besten nochmal nach, ob die Einwilligung für alle betroffenen Dienst wirksam eingeholt wird – gerne gemeinsam mit uns.

Das Gesundheitsdatennutzungsgesetz (GDNG) ist am 25.03.2024 in Kraft getreten. Es zielt darauf ab, den Zugang und die Verknüpfung von Gesundheitsdaten aus verschiedenen Quellen zu Forschungszwecken zu erleichtern. Eine zentrale Datenzugangs- und Koordinierungsstelle wird eingerichtet, um bürokratische Hürden zu minimieren und als Anlaufpunkt für Forschende zu dienen. Die Datenverarbeitung erfolgt dezentral, d. h., die Daten werden am ursprünglichen Speicherort belassen und nur auf spezifischen Antrag in einer sicheren Umgebung bereitgestellt. 

Es wird ein Forschungsgeheimnis eingeführt, das die Vertraulichkeit der Daten sichert und bei Missachtung strafrechtliche Konsequenzen nach sich zieht.
Die Daten aus der elektronischen Patientenakte (ePA) können nun mittels eines Opt-Out-Verfahrens für die Forschung freigegeben werden, wobei eine einfache digitale Verwaltung für Widersprüche etabliert wird. Zusätzlich dürfen Kranken- und Pflegekassen auf Basis von Abrechnungsdaten personalisierte Gesundheitshinweise geben, was dem Schutz und der Früherkennung von Krankheiten dienen soll. Hierbei müssen sie besondere Transparenzpflichten einhalten.

Die Aufsichtsbehörde darf auch ohne Antrag der betroffenen Person die Löschung rechtswidrig verarbeiteter personenbezogener Daten anordnen; Das gilt sowohl für bei der betroffenen Person erhobene Daten als auch Daten aus anderer Quelle (EuGH, C-46/23).

In der Begründung stützt der EuGH sich unter anderem darauf, dass „manche der Fallgruppen in Art. 17 Abs. 1 DSGVO [Recht auf Löschung] Situationen erfassen, in denen die betroffene Person nicht notwendigerweise über die Verarbeitung von sie betreffenden personenbezogenen Daten informiert wurde“. Wer von der Verarbeitung nichts wisse, dürfe nicht schutzlos gestellt werden.

Warum aber ein Löschungsantrag auch dann entbehrlich sein soll, wenn die betroffene Person über die Verarbeitung informiert wurde, erklärt das Gericht nicht.

Die Datenschutzkonferenz (DSK) hat eine Orientierungshilfe für Vermieter für den Umgang mit Mieterselbstauskünften veröffentlicht. Die Orientierungshilfe zielt darauf ab, das Spannungsverhältnis zwischen den Interessen der Vermieter und den Datenschutzrechten potenzieller Mieter auszugleichen, insbesondere im Kontext der DSGVO.
Zu berücksichtigen waren sowohl die Interessen des Mieters an der Geheimhaltung persönlicher Daten als auch das Interesse des Vermieters an einer informierten Entscheidung an wen er seine Wohnung vermietet.

Die DSK bietet ein Muster zum kostenfreien Download an, mit dem die Einholung einer Selbstauskunft datenschutzkonform umsetzbar ist.

Der EDSA hat seine europaweite Aktion „Coordinated Enforcement Framework (CEF)“ für 2024 gestartet. Mehrere deutsche Datenschutzaufsichtsbehörden werden sich an dieser Initiative zum Auskunftsrecht beteiligen. Thema ist die Umsetzung des Auskunftsrechts gem. Art. 15 DSGVO.

Ziel der koordinierten Aktion in diesem Jahr ist es, zu beurteilen, wie Organisationen das Auskunftsrecht in der Praxis umsetzen. Kerninstrument der gemeinsamen Initiative ist ein strukturierter Fragebogen zur Umsetzung des Auskunftsrechts durch Verantwortliche. In Deutschland nehmen die Landesdatenschutzaufsichtsbehörden aus Bayern (LDA), Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, Rheinland-Pfalz, dem Saarland und Schleswig-Holstein sowie der BfDI teil. Die Ergebnisse der Aktion werden in einem Bericht des EDSA veröffentlicht.

Wer Unterstützung bei der Beantwortung des Fragebogens braucht oder – noch wichtiger – bei der konkreten Umsetzung des Auskunftsrechts, melde sich gern bei uns.

Das Arbeitsgericht Suhl (6 Ca 704/23) hat im Rahmen einer Schadensersatzklage nach Art. 82 DSGVO entschieden, dass die Auskunftserteilung per unverschlüsselter E-Mail entgegen dem Wunsch des Klägers nach schriftlicher Auskunft einen Datenschutzverstoß darstellt. Das Gericht hat seine Entscheidung nicht näher begründet.

Nach Art. 12 DSGVO können elektronisch gestellte Auskunftsanträge auch elektronisch beantwortet werden, sofern der Antragsteller nichts anderes angibt. Dies hatte der Kläger im vorliegenden Fall jedoch getan. Letztlich bleibt aber unklar, ob sich der Verstoß aus der Nichtbefolgung des schriftlichen Auskunftsverlangens oder aus der fehlenden Verschlüsselung und der vermeintlichen Verletzung der Vertraulichkeit ergibt. Die Datenschutzwelt staunt.

Immerhin: Der Schadenersatzforderung in Höhe von 10.000 Euro wurde nicht stattgegeben, da der Kläger nicht nachweisen konnte, dass ihm ein immaterieller Schaden entstanden ist.

Datenschützer in Bayern fordern vehement den sofortigen Stopp des Trainings der Palantir-Software „VeRA“ durch die Polizei. Bei der Software handelt es sich um eine verfahrensübergreifende Recherche- und Analyseplattform, die Ermittler unterstützen soll. Die Software befindet sich derzeit in Bayern in einem Testbetrieb.

Nunmehr wurde bekannt, dass bereits echte Personendaten für das Training der Software eingesetzt werden. Nach Auffassung des Landesbeauftragten für Datenschutz in Bayern, Petri, liegt dafür aber keine Rechtsgrundlage vor. Das Bayerische Innenministerium ist demgegenüber der Auffassung, dass eine spezielle Rechtsgrundlage für die Nutzung der Software im Testbetrieb nicht notwendig sei. Die Schaffung einer Rechtsgrundlage im Bayerischen Polizeigesetz steht noch aus, ist aber geplant. Kommt sie, könnte sie die Argumentation der bayerischen Datenschutzaufsicht zu Fall bringen.

Der vom französischen Europaabgeordneten Philippe Latombe gestellte Antrag auf einstweilige Anordnung gegen das US-EU Privacy Framework ist vom EuG zurückgewiesen worden. Das EuG entschied, dass die Eilbedürftigkeit für eine solche Anordnung nicht gegeben sei (T-553/23 R).

Das Gericht musste daher nicht über die Erfolgsaussichten der Klage entscheiden. Latombe habe weder eine persönliche Betroffenheit, noch einen drohenden Schaden nachweisen können. Das Gericht wies seine allgemeinen Argumente bezüglich der negativen Auswirkungen der Entscheidung zurück und stellte fest, dass er keinen persönlichen Schaden geltend gemacht hatte. Die Entscheidung lässt daher keine Rückschlüsse auf die Rechtsauffassung des Gerichts bzgl. der Rechtmäßigkeit des Frameworks zu.

Nach deutschem Ordnungswidrigkeitenrecht durfte ein Bußgeld gegen ein Unternehmen nach verbreiteter Auffassung bisher nur dann verhängt werden, wenn die Ordnungswidrigkeit einer natürlichen Person (zumindest einem leitenden Angestellten des verantwortlichen Unternehmens) zugerechnet werden konnte. Der EuGH hat nun klargestellt, dass diese nationale Regelung im Datenschutzrecht nicht anwendbar ist.

Vielmehr gelten die Bußgeldvorschriften der Datenschutz-Grundverordnung abschließend, nach der es gerade nicht erforderlich ist, dass der Verstoß eines verantwortlichen Unternehmens einer natürlichen Person zugerechnet werden kann. Gleichzeitig hat der EuGH klargestellt, dass für die Verhängung eines Bußgeldes ein Schuldvorwurf (Vorsatz oder Fahrlässigkeit) zwingend erforderlich ist. Dieser dürfte aber bereits bei der Nichtumsetzung von Datenschutzvorgaben im eigenen Unternehmen vorliegen.

Unternehmen ist daher dringend anzuraten, die eigene Datenschutz-Compliance und alle insoweit relevanten Prozesse im Unternehmen auf den Prüfstand zu stellen, um künftig Bußgelder und sonstige Anordnungen der zuständigen Aufsichtsbehörde zu vermeiden.

Für einen Unternehmer im Nebengewerbe war von der Beklagten grob fahrlässig ein rechtswidriger Schufa-Eintrag bewirkt worden. Dieser führte zu ca. sechsmonatigen rechtswidrigen Störungen, etwa beim Dispo-Rahmen oder der Kündigung eines Girokontos.

Für die Unannehmlichkeiten des Betroffenen hält das OLG Dresden (4 U 1078/23) eine Kompensation von 1.500,00 EUR für angemessen und ausreichend. Das entspräche vergleichbaren Sachverhalten und sichere die betroffenen Rechte effektiv.

Sehr wirkungsvoll finde ich das nicht. In anders gelagerten Fällen können Beträge von 500,00 EUR oder 5.000,00 EUR angezeigt sein.

Die gesellschaftsrechtliche Verschmelzung von Unternehmen wirft insbesondere die Frage auf, inwieweit datenschutzrechtliche Vorgaben, z. B. wegen einer Datenübermittlung an Dritte, zu berücksichtigen sind.

Bei der Verschmelzung handelt es sich jedoch um einen Fall der Gesamtrechtsnachfolge (§ 20 Abs. 1 Nr. 1 UmwG). Damit bleibt der ursprüngliche Dateninhaber (rechtlich) unverändert, so dass es gar nicht zu einer Datenübermittlung an einen Dritten kommt.

Daten, die vor der Verschmelzung rechtmäßig erhoben wurden, können daher regelmäßig auch nach der Verschmelzung vom Rechtsnachfolger datenschutzrechtlich in gleicher Weise (und unter den gleichen Voraussetzungen) genutzt werden (W137 2251172).

Der EuGH bestätigt Betroffenenrechte nach DSGVO: Laut Urteil vom 26.10.2023 (C-307/22) hat ein Patient das Recht, unentgeltlich eine erste Kopie seiner Patientenakte zu erhalten.

Der Arzt kann ein solches Entgelt nur dann verlangen, wenn der Patient eine erste Kopie seiner Daten bereits unentgeltlich erhalten hat und erneut einen Antrag auf diese stellt.

Steht so eigentlich schon in Art. 15 DSGVO. Musste das wirklich vor den EuGH?

Nach einer Entscheidung des Europäischen Datenschutzausschusses (EDSA) darf Meta nun im gesamten EWR keine personenbezogenen Daten mehr für verhaltensbezogene Werbung auf der Grundlage von Verträgen und berechtigten Interessen verarbeiten.

Der EDSA folgte damit einem Antrag der norwegischen Datenschutzbehörde, endgültige Maßnahmen gegen Meta zu ergreifen, die im gesamten EWR wirksam sind. Im Gegenzug schlug Meta eine einwilligungsbasierte Verarbeitung vor, die nun von der irischen und anderen Aufsichtsbehörden geprüft wird.

Die Entscheidung folgt der Linie des EuGH (C-252/21), der bereits im Juli entschieden hatte, dass ein Nutzer eines kostenlosen sozialen Netzwerks nicht erwarten kann, dass das Netzwerk seine personenbezogenen Daten ohne seine Einwilligung für personalisierte Werbung verarbeitet.

Spätestens jetzt muss Meta seine Einwilligungserklärungen überarbeiten

Eine unzureichende Information gemäß Art. 14 DSGVO kann während eines laufenden Verfahrens vor einer Datenschutzbehörde korrigiert werden. Es besteht zudem keine Berechtigung zur Feststellung einer vergangenen Verletzung des Informationsrechts, wenn dieser Mangel bis zur behördlichen Entscheidung behoben wurde.

Gleiches soll auch für das Auskunftsrecht einer betroffenen Person gelten. Dies dürfte aber nur dann Bestand haben, wenn zumindest die gesetzlichen Fristen nach Art. 12 Abs. 4 DSGVO eingehalten werden können. In beiden Fällen stehe das Informationsbedürfnis der Betroffenen im Mittelpunkt. Dieses soll unabhängig von der Rechtskonformität der zugrunde liegenden Datenverarbeitung zu bewerten sein (W137 2251172-1). 

Man kann sich sicherlich darüber freuen, dass die Aufsichtsbehörden zur Abwechslung mal ihrem Sensibilisierungs- bzw. Beratungsauftrag nachkommen, statt IT-Anwendungen zu „verbieten“:

Gemeinsam mit sechs weiteren Datenschutzaufsichtsbehörden hat der Landesbeauftragte für den Datenschutz Niedersachsen im September eine Handreichung für den Einsatz von Microsoft 365 veröffentlicht. Empfohlen wird der Abschluss einer Zusatzvereinbarung zum Standardvertrag zur Auftragsdatenverarbeitung (DPA) von Microsoft. Dabei geht es insbesondere um Regelungen zu Löschfristen, zu Änderungen von Unterauftragsverarbeitern sowie zur Datenverarbeitung durch Microsoft für eigene Zwecke.

Ob die Handreichung in der Praxis ihre Umsetzung findet, darf bezweifelt werden. Microsoft wird sich kaum auf den Abschluss tausender individueller Zusatzvereinbarungen mit deutschen KMU einlassen. Vielleicht berücksichtigt Microsoft aber die Handreichung bei einer Neuauflage seiner Verträge. Wer es doch mal mit der Zusatzvereinbarungen probieren möchte, darf sich gerne bei mir melden.

Die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis ist bisher mehr oder weniger umfassend in § 26 des Bundesdatenschutzgesetzes geregelt. Um den schnelllebigen Entwicklungen – auch technischer Natur – der Arbeitswelt (und nebenbei dem europäischen Rechtsrahmen) gerecht zu werden, soll in Q4 2023 ein neues Beschäftigtendatenschutzgesetz kommen.

Das hat die Bundesregierung Ende August in ihrer Datenstrategie „Fortschritt durch Datennutzung“ angekündigt: Man werde von den Öffnungsklauseln der DSGVO Gebrauch machen, „um mit einem modernen, handhabbaren Beschäftigtendatenschutzgesetz Rechtsklarheit für Arbeitgeber sowie Beschäftigte zu schaffen und die Persönlichkeitsrechte der Beschäftigten effektiv zu schützen.“  

Inhaltlich ist bisher nur wenig bekannt, aber dem Vernehmen nach soll es Regelungen u. a. zu solo-selbstständigen Plattformtätigen, Bewerbungsverfahren, Überwachung von Beschäftigten, dem Einsatz künstlicher Intelligenz, der Verarbeitung biometrischer Daten, der Einwilligung von Beschäftigten und Datenübermittlung innerhalb eines Konzerns geben – mit Sicherheit ein Gesetz mit hoher praktischer Relevanz. Wir sind gespannt und halten Sie auf dem Laufenden.

Ist eine Einwilligung des Betroffenen in die Absenkung des Sicherheitsniveaus bei der E-Mail-Übersendung zulässig? – „Ja“, so das Sozialgericht Hamburg (S 39 AS 517/23). Das Gericht verpflichtete eine Behörde, E-Mails unverschlüsselt zu versenden, nachdem ein Blinder ausdrücklich darum gebeten hatte, seine Daten auf diese Weise zu übermitteln. Nach Auffassung des Sozialgerichts Hamburg besteht daher zumindest im Einzelfall eine gewisse Dispositionsbefugnis des Betroffenen über die Angemessenheit der organisatorischen und technischen Maßnahmen.

Zudem seien pauschale datenschutzrechtliche Einwände nicht geeignet, das Recht auf informationelle Selbstbestimmung des Betroffenen zu überwiegen. Zumal der Betroffene mit seiner Einwilligung gerade von dem Freiheitsrecht Gebrauch macht, das die DSGVO schützen will.

Der Anspruch eines Vereinsmitglieds auf Übersendung der Mitgliederliste (inkl. E-Mail-Adressen) eines Vereins ist mit dem Datenschutzrecht vereinbar, soweit das Auskunft verlangende Mitglied ein berechtigtes Interesse daran hat. Das ist z. B. dann der Fall, wenn der Anspruchsinhaber mit den übrigen Mitgliedern Kontakt aufnehmen möchte, um eine Opposition gegen den Vorstand zu organisieren.

Im Rahmen der Interessenabwägung kann davon ausgegangen werden, dass die Mitglieder bereits durch den Vereinsbeitritt zum Ausdruck gebracht haben, dass sie zu einer Kommunikation per E-Mail in Vereinsangelegenheiten bereit sind. Der Anspruchsteller muss sich vom Verein auch nicht auf andere – nicht gleichwertige – Kommunikationsformen (z. B. ein Vereinsforum) verweisen lassen. (8 U94/22)

Dass die DSGVO nicht auf anonymisierte Daten anwendbar ist, dürfte allgemein bekannt sein. Aber wie sieht es mit pseudonymisierten Daten aus? In dem Fall gibt es noch immer irgendwo zusätzliche Informationen, anhand derer der Bezug auf eine identifizierte oder identifizierbare natürliche Person wiederherstellt werden kann. Folglich gilt der Datenschutz auch für pseudonymisierte Daten. Eigentlich.

Denn wenn ein Empfänger pseudonymisierter Daten nicht über die Mittel verfügt, die betroffenen Personen zu re-identifizieren, gelten diese Daten für ihn nicht als personenbezogen. Das gilt selbst dann, wenn der Versender weiterhin über diese zusätzlichen Informationen verfügt, aber ein Zugriff auf diese Informationen durch den Empfänger ausgeschlossen ist.

Das hat der EuGH (T 557/20) im April klargestellt. Eine Aufsichtsbehörde muss demnach nicht nur prüfen, ob der Versender die Personen rückidentifizieren kann, sondern auch, ob diese auch aus Perspektive des Empfängers möglich ist

Der EuGH hat (C-300/21) entschieden, dass ein Verstoß gegen die DSGVO allein noch keinen Schadensersatzanspruch begründet. Es muss nachgewiesen werden, dass tatsächlich ein Schaden entstanden ist. Die Höhe des Schadensersatzes richtet sich nach dem nationalen Recht der Mitgliedstaaten.

Nach Auffassung des EuGH ist der Schadensersatzanspruch in der DSGVO an drei Voraussetzungen geknüpft: Verstoß gegen die DSGVO, materieller oder immaterieller Schaden und Kausalität zwischen Verstoß und Schaden (haftungsausfüllende Kausalität). Der EuGH hat zudem klargestellt, dass eine Erheblichkeitsschwelle für immaterielle Schäden nicht erforderlich ist. Es kommt allein auf das Vorliegen der oben genannten Voraussetzungen an.

Der EuGH hat Anfang Mai dem Gespenst der Rechenschaftspflicht ein wenig seinen Schrecken genommen (C‑60/22): Schließt der Verantwortliche trotz Erforderlichkeit keine Vereinbarung über die gemeinsame Verantwortung (Art. 26 DSGVO) ab oder führt er kein Verarbeitungsverzeichnis (Art. 30 DSGVO), führt dies nicht zur Rechtswidrigkeit der Verarbeitung. Die betroffene Person hat daher keinen Anspruch auf Löschung oder Einschränkung der Verarbeitung.

Der EuGH begründet dies u. a. damit, dass sich die Rechtmäßigkeit einer Verarbeitung von Daten mit „normalem“ Schutzbedarf nur an den Anforderungen des Art. 6 DSGVO (Überschrift: „Rechtmäßigkeit der Verarbeitung“) bemisst. Heißt: Die Datenverarbeitung braucht eine Rechtsgrundlage, um rechtmäßig zu sein. Ob für eine Verarbeitung besondere Datenschutzvereinbarungen zwischen den beteiligten Akteuren erforderlich ist oder ein Verarbeitungsverzeichnis vorliegt, ist hierbei unerheblich. Gibt es eine gültige Rechtsgrundlage, dürfen die Daten auch weiterhin verarbeitet werden.

Viele finden die DSGVO unpraktisch, etwa die umfassenden Ansprüche auf Auskunft und Datenkopie, die viel Aufwand auslösen bei häufig zweifelhaften Motiven auf Seiten des Betroffenen. Und dann erst die Sanktionen. So kann etwa jede Person, der wegen eines Verstoßes gegen die DSGVO ein immaterieller Schaden entstanden ist, Schadenersatz verlangen. Das zieht Glücksritter an, und wer mag die schon.

Es mehren sich daher die Gerichtsentscheidungen, zuletzt aus Nürnberg (4 Sa 201/2) und Memmingen (35 O 1036/22), die Schadensersatz nur bei Verursachung durch die Datenverarbeitung zusprechen. Kein Geld soll es dagegen geben, wenn jemand nichts tut, also etwa die geschuldete Datenauskunft nicht erteilt. Juristisch kann man das unter anderem mit einem Erwägungsgrund und der Entstehungsgeschichte nachvollziehbar begründen. Sinn macht das aber natürlich nicht.

Die DSK hat Ende März ihren Beschluss zu Prüfmaßstäben für „Pur-Abo-Modelle“ veröffentlicht. Bei einem „Pur-Abo-Modell“ haben Websitebesucher meist zwei Möglichkeiten, um die Inhalte der Website lesen zu können: Entweder schließen sie ein kostenpflichtiges Abo ohne Werbung und Tracking (sog. Pur-Abo) ab, oder sie willigen – ohne „Pur-Abo“ – ein, dass ihre Daten für profilbasierte und individualisierte Werbung genutzt werden dürfen.

Mit dem Beschluss stellt die DSK fest, dass das Tracking grundsätzlich auf eine Einwilligung gestützt werden kann, wenn alternativ ein trackingfreies – auch kostenpflichtiges – Modell angeboten wird. Bei mehreren Verarbeitungszwecken muss die Einwilligung granular erteilt werden können.

Der Blog netzpolitik.org stellt hier die in der DSGVO geforderte Freiwilligkeit in Frage und kritisiert, dass die vermeintliche trackingfreie Alternative nur für die gilt, die es sich leisten können. Andererseits wird hier der Gestaltungsspielraum für Webseitenbetreiber gestärkt.

Nach Auffassung des BGH (VI ZR 60/21) darf die Online-Plattform Jameda.de allgemein zugängliche Arzt-Daten ohne Zustimmung des betroffenen Arztes speichern. Es liege insoweit ein berechtigtes Interesse nach Art. 6 Abs. 1 f) DSGVO vor.

Der Kläger, ein Arzt, hatte der Veröffentlichung seiner beruflichen Daten auf dem Portal nicht zugestimmt und verlangte die Löschung. Der BGH urteilte, dass Jameda berechtigte Interessen verfolge, indem es eine Übersicht über Ärzte und deren Leistungen bietet und Patientenbewertungen abrufbar macht. Die Funktion der Veröffentlichung von Patientenbewertungen auf dem Portal falle unter den Schutzbereich von Art. 11 Abs. 1 der Charta der Grundrechte der Europäischen Union und sei zudem gesellschaftlich erwünscht. Das Interesse des Klägers überwiege die berechtigten Interessen von Jameda nicht, sodass die Verarbeitung personenbezogener Daten des Klägers auf der Plattform zulässig sei.

Das VG Hannover (10 A 6199/20) hat entschieden, dass die ununterbrochene und minutengenaue Erhebung von Leistungsdaten der Beschäftigten bei Amazon mittels Handscannern rechtmäßig sei. Das Gericht bestätigte, dass die Datenverarbeitung für die Steuerung der Logistikprozesse, Steuerung der Qualifizierung und Schaffung von Bewertungsgrundlagen für individuelles Feedback und Personalentscheidungen erforderlich ist.

Wer sich mit Verhaltens- und Leistungskontrolle im Beschäftigungsverhältnis näher beschäftigt hat, käme intuitiv evtl. zu einem anderen Ergebnis. Die beklagte Landesbeauftragte für den Datenschutz Niedersachsen ist weiterhin der Auffassung, dass der durch die minutengenaue Leistungsdatenerhebung und Auswertung entstehende Anpassungs- und Leistungsdruck für die Beschäftigten höher zu gewichten sei als das wirtschaftliche Interesse des Unternehmens. Das letzte Wort scheint hier noch nicht gesprochen zu sein.

Die Datenschutzkonferenz (DSK) hat mit einem Beschluss vom 31. Januar 2023 die eigene Rechtsmeinung zu bestimmten Aspekten des Drittlandtransfers klargestellt. Nach Auffassung der DSK ist die bloße Gefahr, dass eine Drittlandsmuttergesellschaft (oder eine Behörde) eines EWR-Unternehmens dieses anweisen könnte, personenbezogene Daten in ein Drittland zu übermitteln, nicht ausreichend, um eine Übermittlung im Sinne von Art. 44 ff. DSGVO anzunehmen.

Allerdings hält die DSK darüber hinaus fest, dass die vorstehend beschrieben „Gefahr“ dazu führen könnte, dass der solcher Weisungsgebundenheit unterliegende Auftragsverarbeiter als nicht hinreichend zuverlässig im Sinne von Art. 28 Abs. 1 DSGVO zu bewerten sein dürfte. Die könne nur durch Vornahme einer Einzelfallprüfung und in der Konsequenz durch die Implementation geeigneter technischer und organisatorischer Maßnahmen, die sicherstellen, dass der Auftragsverarbeiter seinen regulatorischen und vertraglichen Pflichten nachkommt, wiederhergestellt werden.

Dabei hat die DSK offenbar nicht berücksichtigt, dass gem. Art. 28 Abs. 10 DSGVO ein Auftragsverarbeiter, der datenschutzwidrig die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher gilt.

Einen aus Datenschutzsicht interessanten Deal hat ein Kläger vor dem LG Köln (28 O 21/22) ausgehandelt: Nachdem er beim Konkurrenzunternehmen in ein „einfach gutes“ Angebot für einen Audi Q3 eingeschlagen hatte, konnte er obendrauf auch noch EUR 4.000,00 DSGVO-Schadensersatz lockermachen. Und das kam so:

Der Kläger ist Autoverkäufer bei Firma A und hat sich sein neues Auto aber bei der Konkurrenzfirma B gekauft. Firma B wandte sich nun per E-Mail an Firma A und bat diese, zwecks Klärung der Finanzierung des Privatkaufs „mit Ihrem Mitarbeiter ein klärendes Gespräch zu führen“.

Hierin sah das LG Köln eine unerlaubte Offenbarung personenbezogener Daten des Klägers gegenüber dessen Arbeitgeber und damit eine Datenschutzverletzung, die den genannten Schadensersatz auslöst. Der mögliche Rechtfertigungsdruck gegenüber seinem Arbeitgeber sei mit einem erheblichen Schamgefühl verbunden, wodurch ein offensichtliches Geheimhaltungsinteresse des Klägers bestand.

Der Auskunftsanspruch nach Art. 15 DSGVO ist nicht allein deswegen als rechtsmissbräuchlich einzustufen, weil mit ihm datenschutzfremde Ziele verfolgt werden. Nach Ansicht des OLG Celle (8 U 165/22) ist die Motivationslage des Klägers nicht maßgeblich bei der Bewertung der Begründetheit des Auskunftsantrags. Die DSGVO mache den Auskunftsanspruch gerade nicht von einer bestimmten Zielsetzung des Anspruchsinhabers abhängig. Entsprechend muss der Anspruch auch nicht begründet werden. Im vom OLG Celle zu entscheidendem Fall hatte der Anspruchsinhaber Auskunft über die Prämienerhöhung bei seiner privaten Krankenversicherung verlangt. Der Versicherer hatte den Anspruch zurückgewiesen, da der Antragssteller keinen datenschutzrechtlichen Grund verfolge.

Durch das Urteil wird es für Unternehmen in Zukunft deutlich schwerer Auskunftsansprüche mit dem Verweis auf Rechtsmissbräuchlichkeit zurückzuweisen. Unternehmen sollten daher den Umgang mit Betroffenenansprüchen prüfen und ggf. vorhandene Richtlinien entsprechend überarbeiten.

Die EU-Kommission hat kurz vor Weihnachten noch einen Beschlussentwurf vorgelegt, der das angemessene Schutzniveau für personenbezogene Daten gewährleisten soll, wenn diese aus der EU in die USA übermittelt werden. Damit soll den Bedenken des EuGH aus dem Schrems-II-Verfahren Rechnung getragen werden.

Bevor die Kommission allerdings eine Angemessenheitsentscheidung erlassen kann, wird sich erst einmal der Europäische Datenschutzausschuss (EDSB) und das Europäische Parlament damit befassen. Dann steigt die – bis auf Weiteres – die Rechtssicherheit bei der Nutzung notwendiger und alltäglicher Datenverarbeitung mit US-Unternehmen.

Wer als Auftragsverarbeiter personenbezogene Daten für Partner und Kunden verarbeitet, kann nun dank der neuen Verhaltensregel gem. Art. 40 DSGVO „Trusted Data Processor“ des LfDI Baden-Württemberg für mehr Rechtssicherheit sorgen.

Auftragsverarbeiter können mit einer Selbstverpflichtung auf die Verhaltensregel „Trusted Data Processor“ demonstrieren, dass sie den in der Verhaltensregel festgelegten Vorgaben folgen und sie sich deren Überwachung durch eine Überwachungsstelle haben wird. Die Vorgaben der Verhaltenregeln sehen z. B. bestimmte Mindeststandards für die Einbindung und Kontrolle von Unterauftragsverarbeitern, den Umgang mit Betroffenenrechten, die Meldung von Datenschutzvorfällen, die Verpflichtung auf Vertraulichkeit von Beschäftigten und Eigenkontrolle vor.

Mehr Informationen gibt es auf der Webseite www.verhaltensregel.eu.

Der Eigentümer eines Mehrparteienhauses in Berlin ließ den Innenhof des Gebäudes per Video überwachen. Einem Mieter des Hauses hat das Landgericht Berlin (63 O 213/20) nun ein Schmerzensgeld nach Art. 82 DSGVO zugesprochen.

Der Mieter hatte u. a. vorgetragen, dass der Innenhof für ihn wegen des Überwachungsdrucks praktisch nicht nutzbar war. Das Gericht sah eine Videoüberwachung zu präventiven Zwecken (Diebstahlsvermeidung etc.) als nicht gerechtfertigt an und verneinte auch das Vorliegen sonstiger Anhaltspunkte für ein Überwiegen der Interessen des Eigentümers gegenüber den schutzwürdigen Interessen des Betroffenen. Das Gericht gewichtete insbesondere, dass der Innenhof von den Bewohnern des Hauses und deren Kindern als Rückzugsort genutzt wurde. Darüber hinaus erfolgte die Videoüberwachung rund um die Uhr und die Speicherung des Bildmaterials fand ohne zeitliche Limitierung statt

Die Bremer Datenschutzaufsicht hat einen rechten Hetzer mit einem fragwürdigen Verständnis von Meinungsfreiheit in seine Schranken gewiesen; das Verwaltungsgericht Bremen (4 K 1338/21) hat dieses Vorgehen nun bestätigt. Demnach darf die Aufsichtsbehörde anordnen, Videos und Screenshots von Videokonferenzen eines öffentlichen Gremiums vollständig von einer Webseite zu entfernen, und deren künftige Veröffentlichung untersagen, soweit sie Teilnehmer Videokonferenz zeigen und/oder deren Stimmaufnahmen beinhalten.

Die besagte Veröffentlichung zielte laut VG Bremen darauf ab, die an der Videokonferenz beteiligten Personen zu diffamieren, und stellte keine berechtigte Mehrinformation gegenüber den öffentlichen Protokollen der Videokonferenz dar; es fehlte offenbar an einer journalistischen Aufarbeitung der bereitgestellten Informationen. Die Interessensabwägung fällt also gegen den Webseitenbetreiber aus.

Das Urteil zeigt, dass der Datenschutz zum Erhalt der Grundrechte und der freiheitlich-demokratischen Rechtsordnung beiträgt. Die Aufsichtsbehörden können hier eine wichtige und effektive Rolle einnehmen.

Hacker gelangten im vergangenen Jahr rechtswidrig an Datensätze von einer Vielzahl von Facebook-Nutzern. Wie genau die Angreifer an die Daten gelangen konnten, ist unklar. Es ist jedoch davon auszugehen, dass es gelang, sich unrechtmäßig von außen Zugriff auf IT-Systeme von Facebook zu verschaffen. Unabhängig vom konkreten Ablauf ist das unrechtmäßige Abfließen der Daten ein sog. Data-breach-Vorfall im Sinne von Art. 33 DSGVO. In einem Verfahren vor dem Landgericht Zwickau ist nun ein Versäumnisurteil (LG Zwickau,  7 O 334/22) ergangen, in dem einem von der Datenpanne betroffenen Facebook-Nutzer ein Schadenersatzanspruch in Höhe von EUR 1000 zugesprochen. Nach Auffassung des LG hatte Facebook keine ausreichenden Sicherheitsmaßnahmen getroffen, um das Abfließen der Daten zu verhindern.

Unternehmen sollten das Urteil als Anlass nehmen, die eigene IT-Sicherheit einmal mehr auf den Prüfstand zu stellen. Kommt es tatsächlich zu einem Data-breach-Vorfall sollten Unternehmen in der Lage sein zu belegen, dass die eigene IT im konkreten Fall in angemessenem Maß abgesichert war. Nur so können Schadenersatzansprüche im Nachgang abgewehrt werden.

Am 7. Oktober 2022 hat US-Präsident Joe Biden die Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities unterzeichnet. Diese soll der Europäischen Kommission als Grundlage für einen neuen Angemessenheitsbeschluss für den Datentransfer in die USA dienen, nachdem der EuGH das Privacy Shield in seinem Schrems II-Urteil 2020 gekippt hatte (C-311/18). Die neue Executive Order sieht offenbar strengere Regeln für den Umgang mit personenbezogenen Daten durch US-Geheimdienste vor. Betroffene aus der EU sollen zudem ein mehrstufiges Redress-Verfahren nutzen können, für den Fall, dass US-Geheimdienste ihre Daten rechtswidrig verarbeitet haben. Wenn die Europäische Kommission mitmacht, können Verantwortliche in der EU auf Rechtsicherheit für ihre US-Datentransfers im ersten Halbjahr 2023 hoffen; andere sehen schon die Bühne für ein Schrems III-Urteil bereitet. Hat sich Disney schon die Filmrechte gesichert?

Ein verspäteter Auskunftsanspruch kann nach Auffassung des Bundesarbeitsgerichts einen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO in Höhe von EUR 1.000,00 begründen. Darüber hinaus führt das BAG aus, dass auch im Zusammenhang mit Art. 82 DSGVO § 287 Abs. 1 Satz 1 ZPO zur Anwendung kommt. Das Gericht kann also die Schadensschätzung unter Würdigung aller Umstände nach freier Überzeugung vornehmen. Tatsächlich konnte das BAG daher auch nicht die Höhe des in der Vorinstanz vom Landgericht zugesprochenen Schadenersatzanspruchs prüfen, sondern die Entscheidung lediglich auf Ermessensfehler durchleuchten.

Unternehmen sollten ihre eigenen Prozesse rund um den Umgang mit Betroffenenrechten regelmäßig prüfen und überarbeiten, um nicht einer Vielzahl solcher Forderungen ausgesetzt zu werden.